US-Internetunternehmen müssen im Ausland gespeicherte Daten herausgeben

In einem an diesem Wochenende bekannt gewordenen Urteil hat ein New Yorker Bundesrichter entschieden, dass amerikanische Internet-Unternehmen den US-Sicherheitsbehörden auch dann Zugang E-Mails und anderen elektronisch gespeicherten Informationen geben müssen, wenn diese nicht auf Servern in den Vereinigten Staaten, sondern im Ausland gespeichert sind. Die Kunden von US-Unternehmen, die ihre Daten etwa in einer Cloud speichern, müssen also davon ausgehen, dass ihre Daten dem Zugriff durch US-Behörden nach amerikanischem Recht ausgesetzt sind. Damit gelangen die US-Behörden an im Ausland gespeicherte Daten, für die sie ansonsten den Weg der internationalen Rechtshilfe begehen müssten. Dies widerspricht internationalem Recht.

Ein solcher exterritorialer Datenzugriff ist insbesondere deshalb problematisch, weil die Daten von Personen, die sich nicht dauerhaft in den USA aufhalten, nach US-Recht kaum gesetzlich geschützt sind. Betroffene EU-Bürger haben nicht einmal das Recht, sich vor US-Gerichten gegen die Praktiken amerikanischer Behörden beim Umgang mit ihren Daten zu wehren.

Zudem sind die Zugriffsbefugnisse der National Security Agency und des FBI nach dem 11. September 2001 massiv ausgeweitet worden. Wie wir durch die Snowden-Papiere wissen, machen die Behörden von diesen Überwachungsmöglichkeiten auch rege Gebrauch.

Mit seiner Entscheidung durchkreuzt das Gericht die von einigen US-Unternehmen  unternommenen Anstrengungen, ausländischen Kunden sichere und vertrauenswürdige Internet-Dienste anzubieten man die durch das jeweilige nationale  bzw. europäische Recht geschützt sind. So hatte die Firma IBM  vor kurzem angekündigt, in Deutschland ein neues Rechenzentrum zu errichten, in dem die Daten „unter Einhaltung sämtlicher Datenschutzvorgaben aus Deutschland und der EU ins Netzwerk aufgenommen werden.“

Derartige Zusagen sind nicht einzuhalten, wenn sich – wie zu erwarten – die von dem New Yorker Gericht bezogene Position in den USA durchsetzt. Zudem kommt die neue Entscheidung nicht wirklich überraschend. So hatten US-Firmen bereits vor Jahren mitgeteilt, entsprechenden Anordnungen zur Datenherausgabe nach dem Foreign Intelligence Surveillance Act nachzukommen. Auch im Hinblick auf den Zugriff auf Daten aus dem internationalen Zahlungsverkehrs, die durch die belgische Firma SWIFT verarbeitet werden, hatte die US-Regierung  auf der Herausgabe der Daten unabhängig vom Ort der Verarbeitung bestanden und sich damit letztlich durchgesetzt.

Vor diesem Hintergrund ist zu hoffen, dass die Europäische Union ihre Arbeiten an einem harmonisierten Datenschutzrecht bald zu einem Abschluss bringt und damit die Voraussetzungen schafft, die eine derartige Umgehung der internationalen Rechtshilfe auch praktisch verhindert, indem sie die Datenschutzbehörden mit entsprechenden Durchsetzungsbefugnissen ausstattet. Von der Bundesregierung und den Regierungen der anderen europäischen Staaten wünsche ich mir, dass sie sich sowohl bei den Verhandlungen über das neue EU-Datenschutzrecht als auch auf sonstigen Feldern – etwa bei den Verhandlungen über eine transatlantische Freihandelszone (TTIP) oder vergleichbare Abkommen für den Schutz der Grund- und Bürgerrechte stark machen.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (12. August 2016)

Das US-Berufungsgericht des Second Circuit (Second Circuit Court of Appeals) im Verfahren Microsoft v. United States – No. 14-2985 (2d Cir. 2016) – zur Frage, ob in Europa gespeicherte E-Mails von Durchsuchungsbeschlüssen der US-Regierung erfasst sind, zugunsten Microsofts entschieden. Das Gericht hat festgestellt, dass der Durchsuchungsbeschluss, der auf Grundlage des Gesetzes über gespeicherte Kommunikation („Stored Communications Act“) erlassen wurde, in diesem Fall „Microsoft nicht in rechtmäßiger Weise dazu verpflichten kann, der Regierung den ausschließlich in Irland gespeicherten Inhalt des E-Mail-Kontos eines Nutzers zuganglich zu machen“. Damit hat das Gericht den Standpunkt von Microsoft bestätigt, der von zahlreichen anderen Unternehmen und Bürgerrechtsgruppen unterstützt wurde.
Gleichwohl ist mit dieser Entscheidung noch nicht endgültig geklärt, inwieweit US-Behörden auf Daten zugreifen dürfen, die außerhalb des eigenen Hoheitsgebiets gespeichert sind. Insbesondere ist nicht ausgeschlossen, dass der Supreme Court zu einem anderen Ergebnis kommt, wenn ihm dieser oder ein entsprechender Fall vorgelegt wird. Zudem werden auch in Europa und anderen Weltregionen immer wieder Forderungen laut,  Unternehmen durch nationales Recht zur Herausgabe von im Ausland gespeicherten Daten zu verpflichten, auch außerhalb der internationalen Rechtshilfe.

 

13 Kommentare

    Als Konsequenz aus dieser Situation wäre es wünschenswert, wenn es einen guten kontinental-europäischen Email-Provider gäbe. Gmail hat einen in jeder Hinsicht hervorragenden Service mit kaum wahrnehmbarer Werbung. Leider wird von keinem hiesigen Provider eine ähnlicher Service angeboten. Ein kollektives Versagen der deutschen IP-Unternehmen.

    Irgendwo habe ich neulich die treffenden Worte gelesen: „Das Internet ist eine amerikanische Insel.“ Was Technik angeht schläft Deutschland schon seit Jahren. Wir sind keine Pioniere, wir sind Mitläufer und Nachmacher.
    Persönlich fände ich eine Dezentralisierung des Internets gut: Sehr viel mehr kleine private Server die auf einem Teil der Festplatte, anonym Teile des Internets spiegeln. Die FreedomBox geht da in die richtige Richtung aber lieber wäre mir die Integration der Funktionen direkt in meinem Router https://freedomboxfoundation.org/

    Etwas off topic bzw. allgemein:
    Danke Herr Schaar, bleiben Sie mit Ihren Infos bitte am Ball !

    „Ihre Nachfolgerin“ scheint ja nichts dazu zu sagen zu haben.
    Ob ihre Statements dann auch kompetent wären kann ich so
    erst recht nicht beurteilen.

    Auf Ihren Artikel bin ich gestoßen durch:
    http://www.heise.de/newsticker/meldung/US-Internetunternehmen-muessen-im-Ausland-gespeicherte-Daten-herausgeben-2178454.html

    Das Urteil und amerikanische Recht (Definition eines Unternehmens) lässt hier aber auch ein paar Lücken offen,
    denn Tochterunternehmen fallen nun nicht direkt unter die Gewalt der US-Gerichte, wenn diese komplett in einem
    anderen Land beheimatet sind. Somit wäre es möglich, z. B.: Wie für IBM oben erwähnt eine Tochterfirma zu gründen und darüber das Rechenzentrum laufen zu lassen und einen Dienstleistungsvertrag mit dem eigentlichen
    Konzern aufzuziehen.

      Wenn sich ein New Yorker Richter einfach mal so über internationales Recht hinweg setzt, weil ihm Rechtshilfeersuche bei anderen Ländern zu aufwendig sind, wie lange wird es dauern, bis auch diese Hürde von amerikanischen Gerichten einkassiert wird?

    In Ermangelung staatlicher Rahmenbedingungen für Cloud-Sicherheit im Mittelstand wurde unsere Initiative bereits 2012 ins Leben gerufen. Denn KMU´s sind nur mit Mühen in der Lage, sich eigene Richtlinien zu erarbeiten.

    Arno Schäfer | 30. April 2014 at 8:52

    Hallo Herr Schaar,

    danke für die Information; aus dem Originaltext des US-amerikanischen Urteils geht nicht hervor, ob gegen das Urteil Berufung möglich ist und auch sonst habe ich nichts dazu gefunden, ob Microsoft dagegen Revision eingelegt hat.
    -Wissen Sie dazu neueres?

    Besten Dank

    Peter Schaar | 30. April 2014 at 9:08

    Die Washington Post berichtete am 25. April unter der Überschrift „Low-level federal judges balking at law enforcement requests for electronic evidence“
    unter
    http://www.washingtonpost.com/local/crime/low-level-federal-judges-balking-at-law-enforcement-requests-for-electronic-evidence/2014/04/24/eec81748-c01b-11e3-b195-dd0c1174052c_story.html
    darüber, dass die Entscheidungen von Magistrate Judges, den „Arbeitsbienen“ der Bundesgerichte, von höheren Gerichten überprüft werden können. Deshalb gehe ich davon aus, dass auch in diesem Fall keine letztinstanzliche Entscheidung vorliegt.
    MfG
    Peter Schaar

    Michael Gruder | 4. Mai 2014 at 8:40

    Nur mal so als Hinweis: auf dieser Website gibt es in der mobilen Ansicht (zB iPad) keinen direkt sichtbaren Link zum Impressum und zu den Datenschutzhinweisen.

    Peter Schaar | 4. Mai 2014 at 8:49

    Vielen Dank für den Hinweis.

    Ich nutze das Angebot ebenfalls per iPad – die Anzeige ist einwandfrei, incl. Datenschutzhinweis und Impressum. Bei manchen mobilen Geräten mit kleinem Display ( etwa iPhone) wird nur ein Teil der Seite angezeigt. In diesem Fall bitte Menü-Funktion aufrufen. Dann sind das Impressum und die Datenschutzhinweise sichtbar. Beim iPad hilft es auch, wenn Sie das Gerät horizontal nutzen.

    Mit freundlichen Grüßen, Peter Schaar

    Was oder wer hält die USA nach diesem Urteil noch davon ab, auch europäische Unternehmen zur Herausgabe von Kundendaten zu zwingen?

    Wie würde beispielsweise die Telekom reagieren, wenn ein US-Gericht sie zur Offenlegung der auf deutschen Servern gespeicherten Daten auffordert? Empfindliche Geldstrafen zahlen? Womöglich ihr gesamtes US-Geschäft aufgeben? Oder doch einknicken?

    Es mag sein, dass amerikanisches Recht zwischen einzelnen Firmen und Tochterunternehmen eines Konzerns unterscheidet, wie in Wolfs Kommentar beschrieben. Die Praxis dürfte jedoch anders aussehen; Willst Du in den USA Geschäfte machen, gehören ALLE Deine Daten uns!
    Wer sich sogar über internationales Recht hinwegsetzt, weil es „zu aufwendig“ ist, lässt sich mit solchen Kleinigkeiten kaum stoppen.

    Vor diesem Hintergrund werden Bestrebungen wie die Initiative „E-Mail made in Germany“ – zu denen neben der Telekom auch der größte deutsche E-Mail-Anbieter United Internet mit Web.de und GMX gehört und ebenfalls sehr umtriebig in den Staaten ist – ad absurdum geführt. Ganz zu schweigen von einem europäischem Datenschutz.

Schreibe einen Kommentar zu Markus Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert